Zarządzanie BYOD w kontekście ISO 27001, NIS2, DORA i GDPR

Utracony iPad o 8:12 rano

O 8:12 rano na ekranie Sarah pojawiło się zwykłe zgłoszenie do wsparcia: „Utracony iPad, dyrektor sprzedaży”.

Sarah pełniła funkcję Chief Information Security Officer (CISO) w szybko rosnącej firmie fintech i od razu wiedziała, że nie jest to zwykły problem z aktywem. Dyrektor sprzedaży intensywnie korzystał ze swojego prywatnego iPada. Z pokoi hotelowych, saloników lotniskowych i lokalizacji klientów uzyskiwał dostęp do zapisów CRM, poczty elektronicznej, wrażliwych list potencjalnych klientów, przestrzeni współpracy oraz pulpitów potoku płatności.

W ciągu kilku minut sytuacja się pogorszyła. Urządzenie nie było objęte zarządzaniem urządzeniami mobilnymi (MDM). Nie było potwierdzenia, że zostało zaszyfrowane. Nie było możliwości zdalnego wymazania danych. Reguły dostępu warunkowego istniały, ale dyrektor sprzedaży kilka miesięcy wcześniej otrzymał wyjątek, ponieważ „ciągle podróżował”. Zespół ds. prywatności nie był w stanie potwierdzić, jakie dane klientów zostały zapisane lokalnie w pamięci podręcznej. Menedżer ds. zgodności przekazał nową wiadomość od audytora zewnętrznego: „Proszę przedstawić dowody, że prywatne urządzenia mobilne uzyskujące dostęp do danych klientów są objęte nadzorem, monitorowane, szyfrowane i możliwe do wycofania z użycia w przypadku naruszenia ich bezpieczeństwa”.

Utracony iPad nie był właściwą eksplozją. Był strzałem ostrzegawczym.

Na tym polega problem zarządzania urządzeniami mobilnymi i BYOD w 2026 r. Prywatne telefony i tablety nie są już udogodnieniem dla pracowników. Są biznesowymi punktami końcowymi, czynnikami tożsamości, magazynami danych, narzędziami zatwierdzania płatności, urządzeniami towarzyszącymi dla dostępu uprzywilejowanego oraz kanałami zgłaszania incydentów. Jedno prywatne urządzenie może zawierać aplikację uwierzytelniającą dla dostępu administratora, pocztę firmową z danymi osobowymi, pliki z chmury zapisane w pamięci podręcznej, zrzuty ekranu informacji regulowanych, aktywne sesje przeglądarkowe do konsol SaaS oraz tokeny dostępu do narzędzi operacyjnych.

Dla osób pełniących funkcję CISO, menedżerów ds. zgodności i zarządów pytanie nie brzmi już: „Czy dopuszczamy BYOD?”. Właściwe pytanie brzmi: „Czy potrafimy wykazać, że każda ścieżka dostępu mobilnego jest objęta nadzorem, oceniona pod kątem ryzyka, kontrolowana technicznie, monitorowana i możliwa do odzyskania?”.

Odpowiedź nie powinna wymagać odrębnych programów zgodności dla ISO 27001, NIS2, DORA i GDPR. Dobrze określony zakres systemu zarządzania bezpieczeństwem informacji ISO/IEC 27001:2022 ISO/IEC 27001:2022 może objąć ryzyka mobilne i BYOD w politykach, własności aktywów, kontroli dostępu, zgodności urządzeń, rejestrowaniu, reagowaniu na incydenty, mechanizmach ochrony prywatności i dowodach dotyczących dostawców. Podejście Clarysec polega na jednokrotnym zbudowaniu tych dowodów, a następnie ponownym wykorzystaniu ich dla cyberhigieny NIS2, zarządzania ryzykiem ICT w DORA oraz bezpieczeństwa przetwarzania w GDPR Article 32.

Dlaczego BYOD jest obecnie kwestią zgodności na poziomie zarządu

Praca hybrydowa utrwaliła dostęp mobilny. Dyrektorzy sprzedaży zatwierdzają umowy z prywatnych iPhone’ów. Menedżerowie finansów autoryzują płatności z tabletów. Inżynierowie używają aplikacji uwierzytelniających na własnych telefonach. Członkowie kierownictwa podróżują z pocztą firmową na prywatnych urządzeniach, bo jest to wygodne. Wykonawcy uzyskują dostęp do zgłoszeń z przeglądarek mobilnych. Zespoły wsparcia otrzymują alerty incydentów przez mobilne komunikatory.

Ta elastyczność tworzy lukę w zarządzaniu, gdy dostęp rośnie szybciej niż projekt polityk i zabezpieczeń.

NIS2 uwidacznia tę lukę na poziomie zarządczym. Article 20 wymaga, aby organy zarządzające zatwierdzały środki zarządzania ryzykiem cyberbezpieczeństwa, nadzorowały ich wdrożenie i odbywały szkolenia. Article 21 wymaga odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych, w tym analizy ryzyka, obsługi incydentów, ciągłości działania, bezpieczeństwa łańcucha dostaw, bezpiecznego nabywania i utrzymania, oceny skuteczności, cyberhigieny, kryptografii, bezpieczeństwa HR, kontroli dostępu i zarządzania aktywami. Zarządzanie mobilne i BYOD dotyka niemal każdego z tych obszarów.

DORA podnosi stawkę dla podmiotów finansowych. Od stycznia 2025 r. DORA wymaga udokumentowanych ram zarządzania ryzykiem ICT, nadzoru organu zarządzającego, ciągłości działania ICT, zarządzania incydentami ICT, testowania cyfrowej odporności operacyjnej oraz zarządzania ryzykiem ICT stron trzecich. Jeżeli pracownicy uzyskują dostęp do funkcji krytycznych lub istotnych przez urządzenia mobilne, urządzenia te są częścią powierzchni ryzyka ICT. Dostawca zarządzania urządzeniami mobilnymi lub ujednoliconego zarządzania punktami końcowymi może również stać się istotny dla dowodów dotyczących stron trzecich ICT, jeżeli chroni dostęp do regulowanych operacji.

GDPR dodaje perspektywę rozliczalności. Article 5 wymaga, aby dane osobowe były przetwarzane w sposób bezpieczny, oraz wymaga od administratora wykazania zgodności. Article 32 wymaga odpowiednich środków technicznych i organizacyjnych, w tym poufności, integralności, dostępności, odporności oraz zdolności przywrócenia dostępu tam, gdzie jest to potrzebne. W praktyce osoby dokonujące przeglądu prywatności zadają konkretne pytania: Kto może uzyskiwać dostęp do danych osobowych z urządzeń mobilnych? Jak ograniczany jest dostęp? Co dzieje się, gdy telefon zostanie utracony? Czy dane organizacji można wymazać bez naruszania prywatności osobistej? Czy logi są przechowywane? Czy dostępne są dowody oceny naruszenia?

ISO/IEC 27001:2022 dostarcza model operacyjny. Klauzule 4.1 do 4.4 wymagają, aby organizacje określiły kwestie wewnętrzne i zewnętrzne, wymagania zainteresowanych stron, obowiązki regulacyjne, zakres i zależności. Klauzula 5 wymaga przywództwa, ról i odpowiedzialności. Klauzula 6 wymaga oceny ryzyka i postępowania z ryzykiem. Klauzule 8.2 i 8.3 wymagają, aby organizacja przeprowadzała oceny ryzyka bezpieczeństwa informacji oraz wdrażała plany postępowania z ryzykiem.

Oznacza to, że BYOD nie może pozostawać w zapomnianej notatce IT. Należy do zakresu SZBI, w którym zarządza się obowiązkami prawnymi, oczekiwaniami klientów, zależnościami operacyjnymi i decyzjami dotyczącymi postępowania z ryzykiem.

Klaster zabezpieczeń ISO 27001 dla zarządzania mobilnego i BYOD

Clarysec zwykle rozpoczyna zarządzanie mobilne od klastra trzech zabezpieczeń z Załącznika A do ISO/IEC 27001:2022, wspieranych przez wytyczne wdrożeniowe ISO/IEC 27002:2022.

W Zenith Controls: The Cross-Compliance Guide Zenith Controls Clarysec traktuje te zabezpieczenia jako wzajemnie wzmacniające się. Dla urządzeń końcowych użytkowników Zenith Controls klasyfikuje zabezpieczenie A.8.1 jako zapobiegawcze, wspierające poufność, integralność i dostępność, zmapowane do koncepcji cyberbezpieczeństwa Protect oraz operacyjnych zdolności zarządzania aktywami i ochrony informacji.

Przewodnik wyjaśnia również, dlaczego zabezpieczenia dotyczące urządzeń końcowych bezpośrednio łączą się z dopuszczalnym użytkowaniem, pracą zdalną, ograniczaniem dostępu, bezpiecznym uwierzytelnianiem, ochroną fizyczną, obowiązkami dotyczącymi poufności oraz szkoleniem z zakresu świadomości bezpieczeństwa.

„Urządzenia końcowe są podstawowymi platformami, za pomocą których egzekwowane są polityki dopuszczalnego użytkowania.”
Źródło: Zenith Controls, Urządzenia końcowe użytkowników, zabezpieczenie 8.1 Zenith Controls

Dla pracy zdalnej Zenith Controls mapuje A.6.7 na A.7.9 bezpieczeństwo aktywów poza siedzibą, A.8.1 urządzenia końcowe użytkowników, A.5.1 polityki bezpieczeństwa informacji, A.6.3 świadomość, edukację i szkolenia w zakresie bezpieczeństwa informacji, A.5.14 transfer informacji, A.8.20 bezpieczeństwo sieci, A.8.22 segregację sieci, A.7.7 czyste biurko i czysty ekran, A.5.29 bezpieczeństwo informacji podczas zakłócenia oraz A.5.30 gotowość ICT do ciągłości działania.

To mapowanie odzwierciedla rzeczywisty przebieg audytów. Audytor nie kończy na pytaniu: „Czy macie politykę BYOD?”. Sprawdza, czy polityka jest wdrożona, czy urządzenia są zarejestrowane, czy dostęp zależy od zgodności, czy istnieją logi, czy użytkownicy są przeszkoleni, czy incydenty utraty urządzeń są obsługiwane i czy wyjątki są zaakceptowane pod względem ryzyka.

Fundament polityki: jawne określenie zasad zarządzania

Możliwy do obrony program BYOD zaczyna się od jednoznacznych zasad. Biblioteka polityk Clarysec zawiera wzorce dla MŚP i przedsiębiorstw, dzięki czemu organizacje mogą skalować wymagania bez utraty przejrzystości audytowej.

Dla MŚP Mobile Device and BYOD Policy-sme Clarysec Polityka urządzeń mobilnych i BYOD — MŚP tworzy prostą bramkę zarządczą:

„Prywatne urządzenia BYOD muszą zostać zatwierdzone przez dyrektora generalnego (GM) przed użyciem.”
Źródło: Mobile Device and BYOD Policy-sme, Wymagania dotyczące zarządzania, klauzula 5.1.1 Polityka urządzeń mobilnych i BYOD — MŚP

To krótkie zdanie zamyka częstą lukę audytową. Zapobiega cichemu dostępowi z prywatnych urządzeń, tworzy punkt zatwierdzania i nadaje właścicielowi biznesowemu lub dyrektorowi generalnemu widoczną rolę zarządczą. Wspiera również klauzule ISO 27001 5.1 do 5.3, w których najwyższe kierownictwo musi wykazać przywództwo, komunikować oczekiwania i przypisać odpowiedzialności.

Polityka dla MŚP jasno określa również egzekwowanie konfiguracji bazowej:

„Następujące zabezpieczenia muszą być egzekwowane na wszystkich urządzeniach mobilnych (należących do firmy i BYOD):”
Źródło: Mobile Device and BYOD Policy-sme, Wymagania dotyczące zarządzania, klauzula 5.2.1 Polityka urządzeń mobilnych i BYOD — MŚP

Dla organizacji regulowanych lub większych Mobile device and byod policy Clarysec Polityka urządzeń mobilnych i BYOD jest bardziej nakazowa:

„Wszystkie urządzenia mobilne (korporacyjne lub prywatne) uzyskujące dostęp do zasobów organizacji muszą być:
5.1.1 Zarejestrowane i włączone do zatwierdzonej platformy zarządzania urządzeniami mobilnymi (MDM).
5.1.2 Skonfigurowane z technicznymi zabezpieczeniami, w tym wymuszonym szyfrowaniem i uwierzytelnianiem.
5.1.3 Monitorowane pod kątem zgodności ze zdefiniowanymi konfiguracjami bazowymi systemu operacyjnego (OS) i wdrażania poprawek.”
Źródło: Mobile device and byod policy, Wymagania dotyczące zarządzania, klauzula 5.1 Polityka urządzeń mobilnych i BYOD

To język gotowy do audytu. Audytor może sprawdzić populację urządzeń mobilnych, porównać ją z logami dostępu, pobrać próbki zapisów rejestracji oraz zweryfikować, czy szyfrowanie, uwierzytelnianie i konfiguracje bazowe poprawek są egzekwowane.

BYOD wymaga również granic zgody uwzględniających prywatność. Polityka dla przedsiębiorstw stanowi:

„Dostęp w modelu Bring Your Own Device (BYOD) może zostać przyznany wyłącznie po formalnej akceptacji uzgodnienia dotyczącego korzystania z Bring Your Own Device (BYOD) obowiązującego w organizacji, które obejmuje:
5.2.1 Zgodę na monitorowanie kontenerów firmowych lub aplikacji zarządzanych
5.2.2 Potwierdzenie stosowania zabezpieczeń zarządzania urządzeniami mobilnymi (MDM), takich jak zdalne wymazywanie danych lub blokada dostępu
5.2.3 Zgodę na dobrowolny udział oraz prawo do rezygnacji”
Źródło: Mobile device and byod policy, Wymagania dotyczące zarządzania, klauzula 5.2 Polityka urządzeń mobilnych i BYOD

Ta klauzula ma kluczowe znaczenie dla dostosowania do GDPR. Wyjaśnia, że monitorowanie dotyczy kontenerów firmowych lub aplikacji zarządzanych, dokumentuje potwierdzenie pracownika dotyczące blokady dostępu lub zdalnego wymazywania danych oraz zachowuje prawo do rezygnacji. Pomaga oddzielić uzasadnione firmowe monitorowanie bezpieczeństwa od nadmiernej ingerencji w życie prywatne.

Od polityki do zabezpieczeń: MDM, kontenery, dostęp i logi

Polityka staje się zarządzaniem dopiero wtedy, gdy jest wdrożona i potwierdzona dowodami. Praktyczna konfiguracja bazowa zaczyna się od rejestracji.

„Wszystkie urządzenia mobilne muszą zostać zarejestrowane w rozwiązaniu zarządzania urządzeniami mobilnymi (MDM) przed uzyskaniem dostępu do systemów korporacyjnych.”
Źródło: Mobile device and byod policy, Wymagania dotyczące wdrożenia polityki, klauzula 6.1.1 Polityka urządzeń mobilnych i BYOD

W środowiskach przedsiębiorstw ta sama warstwa wdrożeniowa powinna egzekwować szyfrowanie, PIN, kod dostępu lub uwierzytelnianie biometryczne, blokadę po bezczynności, obsługiwane wersje OS, wykrywanie jailbreak lub root, konfiguracje bazowe poprawek oraz wymazanie albo odtworzenie obrazu urządzenia po powtarzających się nieudanych próbach logowania.

W przypadku BYOD lepszym rozwiązaniem projektowym są zwykle aplikacje zarządzane lub kontenery firmowe zamiast monitorowania całego urządzenia. Polityka ujmuje to następująco:

„Dane korporacyjne muszą być przechowywane wyłącznie w szyfrowanych, zarządzanych kontenerach.”
Źródło: Mobile device and byod policy, Wymagania dotyczące wdrożenia polityki, klauzula 6.6.1 Polityka urządzeń mobilnych i BYOD

Wspiera to minimalizację danych w GDPR oraz bezpieczeństwo przetwarzania zgodnie z Article 32, ponieważ dane biznesowe są ograniczone do obszarów zarządzanych, a obszary prywatne nie są traktowane jako repozytoria korporacyjne. Daje to również organizacji praktyczną odpowiedź w przypadku utraty prywatnego telefonu: cofnąć sesje, wymazać dane korporacyjne, zachować logi i ocenić ekspozycję bez wymazywania prywatnych zdjęć, wiadomości ani aplikacji.

Dostęp warunkowy łączy następnie tożsamość ze stanem bezpieczeństwa urządzenia. Co najmniej systemy wrażliwe powinny wymagać rejestracji, MFA, szyfrowania, obsługiwanego OS, blokady ekranu, braku jailbreak lub root, dostępu przez aplikację zarządzaną oraz ograniczeń pobierania, współdzielenia schowka lub wykonywania zrzutów ekranu tam, gdzie wymaga tego ryzyko. Nadaje to praktyczny skutek A.8.1 urządzeniom końcowym użytkowników, A.8.3 ograniczeniu dostępu do informacji oraz A.8.5 bezpiecznemu uwierzytelnianiu.

Rejestrowanie zamyka pętlę. Polityka dla przedsiębiorstw wymaga:

„Logi dostępu mobilnego muszą być przechwytywane i przechowywane przez co najmniej 90 dni, z integracją z centralną platformą SIEM, jeżeli ma to zastosowanie.”
Źródło: Mobile device and byod policy, Wymagania dotyczące zarządzania, klauzula 5.6 Polityka urządzeń mobilnych i BYOD

Dla mniejszych środowisk Logging and Monitoring Policy-sme Clarysec Polityka rejestrowania i monitorowania — MŚP dodaje praktyczne minimum:

„BYOD i systemy zdalne muszą mieć włączone lokalne rejestrowanie zdarzeń uwierzytelniania oraz wykryć oprogramowania antywirusowego”
Źródło: Logging and Monitoring Policy-sme, Wymagania dotyczące wdrożenia polityki, klauzula 6.3.1 Polityka rejestrowania i monitorowania — MŚP

Program zarządzania mobilnego bez logów jest trudny do obrony. Dochodzenie dotyczące utraconego urządzenia wymaga historii dostępu, nieudanych prób, statusu zgodności urządzenia, dowodów cofnięcia sesji oraz wszelkiej istotnej aktywności DLP lub kontenera.

Gdzie zarządzanie mobilne mieści się w 30-etapowej mapie drogowej

Zenith Blueprint: An Auditor’s 30-Step Roadmap Clarysec Zenith Blueprint umieszcza zarządzanie mobilne i BYOD w wielu fazach wdrożenia. Nie traktuje BYOD jako pojedynczego dokumentu polityki.

W fazie „Kontrole w działaniu”, krok 16, „Kontrole dotyczące ludzi II”, Zenith Blueprint omawia pracę zdalną i BYOD:

„Korzystanie z prywatnych urządzeń (BYOD) powinno być zakazane albo dopuszczone wyłącznie pod rygorystycznymi warunkami, takimi jak rejestracja w rozwiązaniu Mobile Device Management (MDM), które obsługuje konteneryzację danych i zdalne wymazywanie danych korporacyjnych, jeżeli urządzenie zostanie utracone lub użytkownik odchodzi z firmy.”
Źródło: Zenith Blueprint, faza „Kontrole w działaniu”, krok 16, „Kontrole dotyczące ludzi II” Zenith Blueprint

W kroku 19, „Kontrole technologiczne I”, Zenith Blueprint przedstawia punkty końcowe jako początek interakcji cyfrowej:

„Urządzenia końcowe użytkowników, laptopy, smartfony, tablety, komputery stacjonarne, a nawet thin clienty, to miejsca, w których zaczyna się interakcja cyfrowa. Są drzwiami i oknami do waszych systemów.”
Źródło: Zenith Blueprint, faza „Kontrole w działaniu”, krok 19, „Kontrole technologiczne I” Zenith Blueprint

Krok 18, „Kontrole fizyczne II”, obejmuje bezpieczeństwo aktywów poza siedzibą. Dotyczy to urządzeń pozostawionych w samochodach, tabletów używanych w przestrzeniach publicznych, laptopów nadawanych jako bagaż oraz plików przechowywanych offline. Zasada jest prosta: nawet jeśli urządzenie zostanie utracone lub skradzione, dane muszą pozostać niedostępne.

To warstwowe podejście pozwoliło Sarah przejść od paniki do zarządzania. Nie kupiła narzędzia i nie uznała problemu za rozwiązany. Połączyła zasady dotyczące ludzi, zachowania fizyczne i techniczne egzekwowanie w jeden system możliwy do audytu.

Tygodniowy sprint budowy pakietu dowodowego BYOD

Praktycznym sposobem zamknięcia luki jest zbudowanie pakietu dowodowego BYOD. Jest to zestaw artefaktów, które CISO może przekazać audytorowi, organowi regulacyjnemu, asesorowi klienta lub komitetowi zarządu.

W Dniu 1 zidentyfikuj telefony należące do organizacji, prywatne telefony używane do MFA, tablety BYOD uzyskujące dostęp do pulpitów, mobilne urządzenia wykonawców, użytkowników uprzywilejowanych uzyskujących dostęp do konsol administracyjnych oraz każdy dostęp mobilny do systemów przetwarzających dane osobowe lub transakcje finansowe.

W Dniu 6 przetestuj realistyczny scenariusz: dyrektor sprzedaży zgłasza, że na lotnisku skradziono mu prywatny telefon z zarządzaną pocztą firmową. Polityka dla MŚP określa jasne oczekiwanie dotyczące zgłoszenia:

„Utracone, skradzione lub naruszone urządzenia muszą zostać zgłoszone do dyrektora generalnego (GM) w ciągu 1 godziny”
Źródło: Mobile Device and BYOD Policy-sme, Wymagania dotyczące wdrożenia polityki, klauzula 6.4.1 Polityka urządzeń mobilnych i BYOD — MŚP

Ćwiczenie powinno sprawdzić, czy zespół potrafi zidentyfikować urządzenie, cofnąć sesje, zdalnie wymazać dane korporacyjne, zachować logi, ocenić ekspozycję danych osobowych, zdecydować, czy potrzebna jest analiza naruszenia GDPR, oraz ustalić, czy mogły zostać uruchomione progi zgłoszeniowe NIS2 lub DORA.

Zgodność przekrojowa: jeden program mobilny, cztery historie dowodowe

Wartością zarządzania BYOD opartego na ISO 27001 jest ponowne wykorzystanie. Jeden zestaw zabezpieczeń może generować dowody dla kilku obowiązków, jeżeli jest dobrze ustrukturyzowany.

Ta sama logika obowiązuje na poziomie zabezpieczeń.

W przypadku NIS2 zakres ma znaczenie. Dostawcy infrastruktury cyfrowej, dostawcy usług chmurowych, dostawcy centrów danych, sieci dostarczania treści, dostawcy DNS, rejestry TLD, dostawcy usług zaufania, dostawcy publicznej łączności elektronicznej, dostawcy usług zarządzanych B2B oraz dostawcy zarządzanych usług bezpieczeństwa mogą należeć do kategorii podmiotów kluczowych lub ważnych w zależności od wielkości, sektora i wdrożenia krajowego. Niezarządzany dostęp mobilny do systemów operacyjnych nie jest w tym kontekście drobnym wyjątkiem IT. To kwestia zarządzania.

W przypadku DORA dostawca MDM lub UEM może stać się częścią dowodów ryzyka strony trzeciej, jeżeli wspiera dostęp do funkcji krytycznych lub istotnych. Organizacje myślące zgodnie z DORA powinny dokumentować due diligence, poziomy usług, lokalizacje danych, wsparcie przy incydentach, środki bezpieczeństwa, prawa do audytu, uzgodnienia wyjścia oraz udział dostawcy w testach, jeśli jest to istotne.

W przypadku GDPR utracony prywatny telefon nie jest automatycznie naruszeniem ochrony danych osobowych wymagającym zgłoszenia. Staje się poważnym problemem, jeżeli dane korporacyjne są dostępne, niezaszyfrowane, zapisane w pamięci podręcznej poza kontenerami zarządzanymi lub ujawnione przez aktywne sesje. Organizacja musi wiedzieć, jakie dane były dostępne, czy zabezpieczenia zapobiegły nieuprawnionemu dostępowi i czy logi potwierdzają ten wniosek.

Jak audytorzy będą testować zarządzanie BYOD

Dojrzały program powinien być przygotowany na różne style audytu.

Lista kontrolna audytu Zenith Blueprint dla pracy zdalnej jest bezpośrednia: audytorzy sprawdzą, czy polityka została wdrożona, a nie tylko udokumentowana. Należy być gotowym do przedstawienia formalnej polityki, wyjaśnienia egzekwowania, takiego jak korzystanie z VPN, szyfrowanie punktów końcowych lub MDM, pokazania rejestracji BYOD albo ograniczeń, dostarczenia zapisów szkoleń oraz wykazania, że pracownicy zdalni rozumieją swoje obowiązki.

NIST CSF 2.0 daje użyteczny model uzupełniający. Jego funkcja GOVERN wymaga, aby prawne, regulacyjne i umowne wymagania cyberbezpieczeństwa były rozumiane i zarządzane, ryzyko cyberbezpieczeństwa było zintegrowane z zarządzaniem ryzykiem przedsiębiorstwa, role i uprawnienia były zdefiniowane, polityki były ustanowione i monitorowane, a wyniki oceniane. Dla zarządzania mobilnego praktyczny profil docelowy może brzmieć: wszystkie urządzenia uzyskujące dostęp do danych osobowych lub krytycznych systemów biznesowych są zarejestrowane, zaszyfrowane, zgodne, monitorowane i możliwe do wycofania w ciągu jednej godziny od powiadomienia o naruszeniu bezpieczeństwa.

Typowe ustalenia audytowe dotyczące BYOD

Ustalenia dotyczące zarządzania mobilnego rzadko wynikają z jednej katastrofalnej awarii. Zwykle wynikają z drobnych wyjątków, których nigdy nie zamknięto.

Typowe ustalenia obejmują:

• BYOD dopuszczone w praktyce, ale bez formalnego zatwierdzenia
• aplikacje uwierzytelniające traktowane jako pozostające poza zakresem SZBI
• MDM skonfigurowane dla urządzeń korporacyjnych, ale nie dla prywatnych urządzeń z dostępem korporacyjnym
• członkowie kierownictwa wyłączeni z konfiguracji bazowych zgodności urządzeń
• dostęp warunkowy obchodzony przez protokoły przestarzałe lub niezarządzane przeglądarki
• prywatne urządzenia uzyskujące dostęp do poczty elektronicznej bez konteneryzacji
• logi mobilne przechowywane na platformach SaaS, ale nieprzeglądane ani nieeksportowane
• procedura dla utraconego urządzenia istnieje, ale personel nie zna terminu zgłoszenia
• brak języka dotyczącego prywatności wyjaśniającego, co firma może monitorować, a czego monitorować nie może
• brak dowodów, że wyjątki mobilne są ograniczone czasowo i zaakceptowane pod względem ryzyka
• dostawca MDM nieuwzględniony w zarządzaniu ryzykiem ICT stron trzecich
• brak ćwiczenia sztabowego dla naruszenia bezpieczeństwa urządzenia mobilnego
• brak mapowania zabezpieczeń BYOD na dowody dla GDPR Article 32, NIS2 lub DORA

Każde ustalenie można naprawić. Problemem zwykle nie jest brak narzędzi. Jest nim brak własności, projektowania dowodów i mapowania zgodności przekrojowej.

Narracja na poziomie zarządu

Kierownictwo nie potrzebuje każdego szczegółu konfiguracji MDM. Potrzebuje jasnej narracji rozliczalności.

Silne stanowisko BYOD na poziomie zarządu mówi:

1. Wiemy, które urządzenia mobilne uzyskują dostęp do zasobów organizacji.
2. Rozróżniamy dostęp z urządzeń korporacyjnych i BYOD.
3. BYOD jest dobrowolne, zatwierdzone i regulowane uzgodnieniem.
4. Dane korporacyjne są szyfrowane i izolowane.
5. Dostęp zależy od zgodności urządzenia.
6. Logi są przechowywane i przeglądane.
7. Utracone lub naruszone urządzenia są szybko zgłaszane.
8. Dane korporacyjne mogą zostać wymazane albo dostęp może zostać cofnięty.
9. Ryzyka dotyczące danych osobowych są oceniane zgodnie z GDPR.
10. Wyjątki są zatwierdzane, ograniczone czasowo i poddawane przeglądom.

Łączy to zarządzanie mobilne z apetytem na ryzyko, odpornością operacyjną, rozliczalnością prawną i zaufaniem klientów. Daje również organom zarządzającym dowody potrzebne do wykazania nadzoru zgodnie z NIS2 i DORA.

Jak pomaga Clarysec

Model zarządzania mobilnego i BYOD Clarysec łączy politykę, wdrożenie i mapowanie zgodności przekrojowej.

Po pierwsze, biblioteka polityk daje organizacjom gotowy do dostosowania język zarządzania. Mobile Device and BYOD Policy-sme jest praktyczna dla mniejszych firm, które potrzebują jasnych zasad zatwierdzania i zgłaszania. Mobile device and byod policy wspiera środowiska regulowane wymagające MDM, szyfrowania, uwierzytelniania, konfiguracji bazowych OS, DLP, kontenerów, rejestrowania i formalnych uzgodnień BYOD.

Po drugie, Zenith Blueprint dostarcza ścieżkę wdrożenia. Pokazuje, gdzie zarządzanie mobilne należy umieścić w 30-etapowej mapie drogowej audytu: praca zdalna, bezpieczeństwo aktywów poza siedzibą oraz zabezpieczenia dla urządzeń końcowych. Zapobiega to częstemu błędowi polegającemu na traktowaniu BYOD jako pojedynczego dokumentu, a nie żywego systemu kontroli.

Po trzecie, Zenith Controls zapewnia kompas zgodności przekrojowej. Łączy zabezpieczenia z Załącznika A ISO/IEC 27001:2022 A.8.1, A.6.7 i A.7.9 z powiązanymi zabezpieczeniami, wspierającymi normami i oczekiwaniami audytowymi. To mapowanie pomaga osobom pełniącym funkcję CISO odpowiedzieć na rzeczywiste pytanie regulatora: pokażcie, że wasze zarządzanie mobilne jest proporcjonalne, wdrożone i skuteczne.

Następne kroki: zbuduj możliwy do obrony pakiet dowodowy BYOD

Jeżeli organizacja dopuszcza dostęp mobilny lub BYOD, nie czekaj, aż utracony iPad ujawni lukę dowodową.

Rozpocznij od ukierunkowanej oceny:

• Wypisz każdą ścieżkę dostępu mobilnego do danych korporacyjnych i systemów krytycznych.
• Porównaj rzeczywisty dostęp z Mobile device and byod policy Polityka urządzeń mobilnych i BYOD lub Mobile Device and BYOD Policy-sme Polityka urządzeń mobilnych i BYOD — MŚP.
• Zbuduj jednostronicowy wpis w rejestrze ryzyka mobilnego powiązany z ISO/IEC 27001:2022 ISO/IEC 27001:2022.
• Użyj Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, aby wdrożyć zabezpieczenia dla pracy zdalnej, aktywów poza siedzibą i punktów końcowych.
• Użyj Zenith Controls: The Cross-Compliance Guide Zenith Controls, aby zmapować dowody na oczekiwania NIS2, DORA, GDPR, NIST i COBIT 19.
• Użyj Logging and Monitoring Policy-sme Polityka rejestrowania i monitorowania — MŚP, aby zdefiniować praktyczne oczekiwania dotyczące rejestrowania dla mniejszych środowisk.
• Przeprowadź ćwiczenie sztabowe utraconego urządzenia i zachowaj dowody.

Clarysec może pomóc przekształcić niezarządzany dostęp mobilny w możliwy do obrony, audytowalny program zarządzania. Pobierz polityki, zmapuj swoje zabezpieczenia z Zenith Controls, wdroż mapę drogową z Zenith Blueprint i zaplanuj ocenę Clarysec, zanim następny audytor zada pytanie z 8:12 rano.